9 dic. 2015

Adquisición de Evidencias en Dispositivos Android [I]

Cuando hablamos de las fases de análisis forense, el proceso de adquisición de evidencias me parece uno o quizás el más importante, no quiero decir que las otras fases no sean importantes, lo que menciono es que de las evidencias colectadas dependerá la información a analizar. En el proceso de adquisición de evidencias es importante tener un procedimiento balanceado que incluya información técnica, metodológicas (RFC, NIST, ISO) y contar con un conocimiento básico del marco regulatorio del país donde se realiza el peritaje.

Existen diferentes metodologías y buenas prácticas que se pueden utilizar para la generación del procedimiento:
Siguiendo con el proceso de adquisición de evidencias en Android, una de las particulares que presenta es que no se puede desarrollar un único procedimiento con herramientas libres u open source (lo ideal es poder contar con uno o dos hardware o software de las soluciones más conocida: UFED, XRY, Paraben, Oxygen forensics, etc), pero dado que en la realidad no todos podemos contar con esta soluciones por su alto valor monetario, la idea de desarrollar este post fue otorgarles una serie de procedimientos que le permitan generar sus propia documentación.
Puntos a tener en cuenta con la adquisición

Lo primero a tomar en cuenta previo a realizar el proceso de adquisición en dispositivos móviles:
  • Utilizar un inhibidor o bolsa Faraday.
  • Mantener el dispositivo con una carga alta de batería (Recomendamos 90%).
  • No apagar el dispositivo, al menos que sea necesario.
Es importante que tengan en cuenta los problemas que se pueden presentar en la adquisición:
  • Tecnologías inalámbricas.
  • Distintos equipos (conexiones, SO, personalizaciones).
  • Discontinuidad del producto (ejemplo SYMBIAN u otros).
  • Tecnología "NUBE".
  • Datos volátiles.
  • Software con contenido malicioso.
  • Problemas de software en el equipo del analista.
  • Wiping remoto.
  • Modificación de información de celdas, ingresos de llamadas, mensajes, etc.
Por lo que es importante ser metódicos para poder mantener la integridad en la adquisición de las evidencias.

Para este post, el dispositivo móvil tiene implementado:
  • Root.
  • La tools BusyBox, la cual nos va a permitir poder contar con la mayoría de los comandos GNU/Linux.
El documento completo desarrollado Carlos Loyo y Santiago Friquet se puede descargar de la sección de Terceros de Segu-Info.

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!